Настройка Microsoft Defender для конечной точки в политиках macOS в Jamf Pro
Область применения:
- Defender для конечной точки на Mac
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
На этой странице вы узнаете, как настроить политики macOS в Jamf Pro.
Вам потребуется выполнить следующие действия.
- Получение пакета подключения Microsoft Defender для конечной точки
- Создание профиля конфигурации в Jamf Pro с помощью пакета подключения
- Настройка параметров Microsoft Defender для конечной точки
- Настройка параметров уведомлений Microsoft Defender для конечной точки
- Настройка автоматического обновления (Майкрософт)
- Предоставление полного доступа к диску Microsoft Defender для конечной точки
- Утверждение системных расширений для Microsoft Defender для конечной точки
- Настройка расширения сети
- Настройка фоновых служб
- Предоставление разрешений Bluetooth
- Планирование проверок с помощью Microsoft Defender для конечной точки в macOS
- Развертывание Microsoft Defender для конечной точки в macOS
Шаг 1. Получение пакета подключения Microsoft Defender для конечной точки
В Microsoft Defender XDR перейдите в раздел Подключение конечных >> точек параметров.
Выберите macOS в качестве операционной системы и мобильные Управление устройствами / Microsoft Intune в качестве метода развертывания.
Выберите Скачать пакет подключения (WindowsDefenderATPOnboardingPackage.zip).
Извлеките .
WindowsDefenderATPOnboardingPackage.zip
Скопируйте файл в предпочитаемое расположение. Например,
C:\Users\JaneDoe_or_JohnDoe.contoso\Downloads\WindowsDefenderATPOnboardingPackage_macOS_MDM_contoso\jamf\WindowsDefenderATPOnboarding.plist
.
Шаг 2. Создание профиля конфигурации в Jamf Pro с помощью пакета подключения
Найдите файл
WindowsDefenderATPOnboarding.plist
из предыдущего раздела.Войдите в Jamf Pro, перейдитевраздел Профили конфигурации компьютеров> и выберите Создать.
Введите следующие сведения на вкладке Общие :
- Имя: подключение MDE для macOS
- Описание: подключение MDE EDR для macOS
- Категории: None (нет)
- Метод распространения: автоматическая установка
- Уровень: Уровень компьютера
Перейдите на страницу Приложения & пользовательские параметры и выберите Отправить>добавить.
Выберите Отправить файл (PLIST-файл), а затем в поле Домен предпочтения введите :
com.microsoft.wdav.atp
.Нажмите кнопку Открыть и выберите файл подключения.
Выберите Добавить.
Перейдите на вкладку Область .
Выберите целевые компьютеры.
Выберите Сохранить.
Нажмите кнопку Готово.
Шаг 3. Настройка параметров Microsoft Defender для конечной точки
Вы можете использовать графический интерфейс JAMF Pro для изменения отдельных параметров конфигурации Microsoft Defender для конечной точки или использовать устаревший метод, создав Plist конфигурации в текстовом редакторе и передав его в JAMF Pro.
Обратите внимание, что в качестве предпочтительного домена необходимо использовать точныйcom.microsoft.wdav
, Microsoft Defender для конечной точки использует только это имя и com.microsoft.wdav.ext
для загрузки управляемых параметров.
(Версия com.microsoft.wdav.ext
может использоваться в редких случаях, когда вы предпочитаете использовать метод графического пользовательского интерфейса, но также необходимо настроить параметр, который еще не был добавлен в схему.)
Метод графического пользовательского интерфейса
Скачайте schema.json файл из репозитория GitHub Defender и сохраните его в локальном файле:
curl -o ~/Documents/schema.json https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/schema/schema.json
Создайте профиль конфигурации в разделе Компьютеры —> Профили конфигурации, введите следующие сведения на вкладке Общие :
- Имя: параметры конфигурации MDATP MDAV
- Описание:<blank>
- Категория: Нет (по умолчанию)
- Уровень: уровень компьютера (по умолчанию)
- Метод распространения: автоматическая установка (по умолчанию)
Прокрутите вниз до вкладки Application & Пользовательские параметры , выберите Внешние приложения, щелкните Добавить и используйте настраиваемую схему в качестве источника, чтобы использовать для домена предпочтения.
Введите
com.microsoft.wdav
в качестве предпочтительного домена, выберите Добавить схему и отправьте файл schema.json, скачанный на шаге 1. Нажмите кнопку Сохранить.Ниже приведены все поддерживаемые параметры конфигурации Microsoft Defender для конечной точки в разделе Свойства предпочтительного домена. Щелкните Добавить или удалить свойства , чтобы выбрать параметры, которыми вы хотите управлять, и нажмите кнопку ОК , чтобы сохранить изменения. (Параметры, которые не выбраны, не будут включены в управляемую конфигурацию. Пользователь сможет настроить эти параметры на своих компьютерах.)
Измените значения параметров на нужные значения. Щелкните Дополнительные сведения, чтобы получить документацию по определенному параметру. (Вы можете щелкнуть предварительный просмотр Plist , чтобы проверить, как будет выглядеть plist конфигурации. Щелкните Редактор форм , чтобы вернуться в визуальный редактор.)
Перейдите на вкладку Область .
Выберите Группа компьютеров Contoso.
Нажмите кнопку Добавить, а затем нажмите кнопку Сохранить.
Нажмите кнопку Готово. Вы увидите новый профиль конфигурации.
Microsoft Defender для конечной точки со временем добавляет новые параметры. Эти новые параметры будут добавлены в схему, а новая версия будет опубликована на сайте GitHub. Все, что вам нужно сделать для обновления, — скачать обновленную схему, изменить существующий профиль конфигурации и изменить схему на вкладке Application & Custom Settings (Пользовательские параметры приложения ).
Устаревший метод
Используйте следующие параметры конфигурации Microsoft Defender для конечной точки:
- enableRealTimeProtection
- passiveMode
Примечание.
Не включено по умолчанию. Если вы планируете запустить стороннюю av для macOS, задайте для него значение
true
.- Исключения
- excludedPath
- excludedFileExtension
- excludedFileName
- exclusionsMergePolicy
- allowedThreats
Примечание.
EICAR находится на примере, если вы проходите проверку концепции, удалите его, особенно если вы тестируете EICAR.
- disallowedThreatActions
- potentially_unwanted_application
- archive_bomb
- cloudService
- automaticSampleSubmission
- tags
- hideStatusMenuIcon
Дополнительные сведения см. в разделе Список свойств для полного профиля конфигурации JAMF.
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>antivirusEngine</key> <dict> <key>enableRealTimeProtection</key> <true/> <key>passiveMode</key> <false/> <key>exclusions</key> <array> <dict> <key>$type</key> <string>excludedPath</string> <key>isDirectory</key> <false/> <key>path</key> <string>/var/log/system.log</string> </dict> <dict> <key>$type</key> <string>excludedPath</string> <key>isDirectory</key> <true/> <key>path</key> <string>/home</string> </dict> <dict> <key>$type</key> <string>excludedFileExtension</string> <key>extension</key> <string>pdf</string> </dict> <dict> <key>$type</key> <string>excludedFileName</string> <key>name</key> <string>cat</string> </dict> </array> <key>exclusionsMergePolicy</key> <string>merge</string> <key>allowedThreats</key> <array> <string>EICAR-Test-File (not a virus)</string> </array> <key>disallowedThreatActions</key> <array> <string>allow</string> <string>restore</string> </array> <key>threatTypeSettings</key> <array> <dict> <key>key</key> <string>potentially_unwanted_application</string> <key>value</key> <string>block</string> </dict> <dict> <key>key</key> <string>archive_bomb</string> <key>value</key> <string>audit</string> </dict> </array> <key>threatTypeSettingsMergePolicy</key> <string>merge</string> </dict> <key>cloudService</key> <dict> <key>enabled</key> <true/> <key>diagnosticLevel</key> <string>optional</string> <key>automaticSampleSubmission</key> <true/> </dict> <key>edr</key> <dict> <key>tags</key> <array> <dict> <key>key</key> <string>GROUP</string> <key>value</key> <string>ExampleTag</string> </dict> </array> </dict> <key>userInterface</key> <dict> <key>hideStatusMenuIcon</key> <false/> </dict> </dict> </plist>
Сохраните файл как
MDATP_MDAV_configuration_settings.plist
.На панели мониторинга Jamf Pro откройте компьютеры и их профили конфигурации. Щелкните Создать и перейдите на вкладку Общие .
Введите следующие сведения на вкладке Общие :
- Имя: параметры конфигурации MDATP MDAV
- Описание:<blank>
- Категория: Нет (по умолчанию)
- Метод распространения: автоматическая установка (по умолчанию)
- Уровень: уровень компьютера (по умолчанию)
В разделе Application & Custom Settings (Пользовательские параметры приложения) выберите Настроить.
Выберите Отправить файл (PLIST-файл).
В разделе Параметры Домен введите
com.microsoft.wdav
, а затем выберите Отправить PLIST-файл.Выберите Выбрать файл.
Выберите MDATP_MDAV_configuration_settings.plist и нажмите кнопку Открыть.
Выберите Добавить.
Выберите Сохранить.
Файл будет отправлен.
Перейдите на вкладку Область .
Выберите Группа компьютеров Contoso.
Нажмите кнопку Добавить, а затем нажмите кнопку Сохранить.
Нажмите кнопку Готово. Вы увидите новый профиль конфигурации.
Шаг 4. Настройка параметров уведомлений
Эти действия применимы в macOS 11 (Big Sur) или более поздней версии.
На панели мониторинга Jamf Pro выберите Компьютеры, а затем — Профили конфигурации.
Нажмите кнопку Создать и введите следующие сведения на вкладке Общие для параметра Параметры:
- Имя: параметры уведомлений MDATP MDAV
- Описание: macOS 11 (Big Sur) или более поздней версии
- Категория: Нет (по умолчанию)
- Метод распространения: автоматическая установка (по умолчанию)
- Уровень: уровень компьютера (по умолчанию)
Вкладка Уведомления, нажмите кнопку Добавить и введите следующие значения:
- Идентификатор пакета:
com.microsoft.wdav.tray
- Критические оповещения: щелкните Отключить
- Уведомления: нажмите кнопку Включить.
- Тип оповещения баннера: выберите Включить и Временное(по умолчанию)
- Уведомления на экране блокировки: нажмите кнопку Скрыть
- Уведомления в центре уведомлений: нажмите кнопку Показать
- Значок приложения эмблемы: нажмите кнопку Показать
- Идентификатор пакета:
Вкладка Уведомления, нажмите кнопку Добавить еще раз, прокрутите вниз до пункта Новые параметры уведомлений.
- Идентификатор пакета:
com.microsoft.autoupdate.fba
- Настройте для остальных параметров те же значения, что и выше.
Обратите внимание, что теперь у вас есть две таблицы с конфигурациями уведомлений: одна для идентификатора пакета: com.microsoft.wdav.tray, а другая — для идентификатора пакета: com.microsoft.autoupdate.fba. Хотя вы можете настроить параметры оповещений в соответствии с вашими требованиями, идентификаторы пакетов должны быть точно таким же, как описано выше, а параметр Включить должен быть включен для уведомлений.
- Идентификатор пакета:
Перейдите на вкладку Область , а затем нажмите кнопку Добавить.
Выберите Группа компьютеров Contoso.
Нажмите кнопку Добавить, а затем нажмите кнопку Сохранить.
Нажмите кнопку Готово. Вы увидите новый профиль конфигурации.
Шаг 5. Настройка автоматического обновления Майкрософт (MAU)
Используйте следующие параметры конфигурации Microsoft Defender для конечной точки:
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>ChannelName</key> <string>Current</string> <key>HowToCheck</key> <string>AutomaticDownload</string> <key>EnableCheckForUpdatesButton</key> <true/> <key>DisableInsiderCheckbox</key> <false/> <key>SendAllTelemetryEnabled</key> <true/> </dict> </plist>
Сохраните его как
MDATP_MDAV_MAU_settings.plist
.На панели мониторинга Jamf Pro выберите Общие.
Введите следующие сведения на вкладке Общие :
- Имя: параметры MDATP MDAV MAU
- Описание: Параметры автоматического обновления (Майкрософт) для MDATP для macOS
- Категория: Нет (по умолчанию)
- Метод распространения: установка автоматически (по умолчанию)
- Уровень: уровень компьютера (по умолчанию)
В разделе Application & Custom Settings (Пользовательские параметры приложения ) выберите Настроить.
Выберите Отправить файл (PLIST-файл).
В поле Привилегированный домен введите:
com.microsoft.autoupdate2
, а затем выберите Отправить PLIST-файл.Выберите Выбрать файл.
Выберите MDATP_MDAV_MAU_settings.plist.
Выберите Сохранить.
Перейдите на вкладку Область .
Нажмите Добавить.
Нажмите кнопку Готово.
Шаг 6. Предоставление полного доступа к диску Microsoft Defender для конечной точки
На панели мониторинга Jamf Pro выберите Профили конфигурации.
Выберите + Создать.
Введите следующие сведения на вкладке Общие :
- Имя: MDATP MDAV — предоставление полного доступа к EDR и AV
- Описание. В macOS 11 (Big Sur) или более поздней версии новый элемент управления политикой параметров конфиденциальности
- Категории: None (нет)
- Метод распространения: автоматическая установка
- Уровень: уровень компьютера
В разделе Настройка управления политикой параметров конфиденциальности выберите Настроить.
В разделе Управление политикой параметров конфиденциальности введите следующие сведения:
- Идентификатор:
com.microsoft.wdav
- Тип идентификатора: идентификатор пакета
- Требование к коду:
identifier "com.microsoft.wdav" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
- Идентификатор:
Выберите + Добавить.
В разделе Приложение или служба: задайте значение SystemPolicyAllFiles.
В разделе "access": задайте значение Разрешить.
Выберите Сохранить (не тот, который находится в правом нижнем углу).
+
Щелкните значок рядом с элементом Доступ к приложениям, чтобы добавить новую запись.Введите следующие сведения:
- Идентификатор:
com.microsoft.wdav.epsext
- Тип идентификатора: идентификатор пакета
- Требование к коду:
identifier "com.microsoft.wdav.epsext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
- Идентификатор:
Выберите + Добавить.
В разделе Приложение или служба: задайте значение SystemPolicyAllFiles.
В разделе "access": задайте значение Разрешить.
Выберите Сохранить (не тот, который находится в правом нижнем углу).
Перейдите на вкладку Область .
Выберите + Добавить.
Выберите Группы компьютеров> в разделе Имя> группы выберите Contoso MachineGroup.
Нажмите Добавить.
Выберите Сохранить.
Нажмите кнопку Готово.
Кроме того, можно скачать fulldisk.mobileconfig и отправить его в профили конфигурации JAMF, как описано в статье Развертывание пользовательских профилей конфигурации с помощью Jamf Pro|Способ 2. Отправка профиля конфигурации в Jamf Pro.
Примечание.
Полный доступ к диску, предоставленный через профиль конфигурации Apple MDM, не отражается в разделе Параметры системы => Конфиденциальность & Безопасность => Полный доступ к диску.
Шаг 7. Утверждение расширений системы для Microsoft Defender для конечной точки
В разделе Профили конфигурации выберите + Создать.
Введите следующие сведения на вкладке Общие :
- Имя: расширения системы MDATP MDAV
- Описание: расширения системы MDATP
- Категории: None (нет)
- Метод распространения: автоматическая установка
- Уровень: Уровень компьютера
В разделе Расширения системы выберите Настроить.
В поле Системные расширения введите следующие сведения:
- Отображаемое имя: системные расширения Корпорации Майкрософт
- Типы расширений системы: разрешенные расширения системы
- Идентификатор команды: UBF8T346G9
- Разрешенные системные расширения:
- com.microsoft.wdav.epsext
- com.microsoft.wdav.netext
Перейдите на вкладку Область .
Выберите + Добавить.
Выберите Группы компьютеров> в разделе Имя> группы выберите Группа компьютеров Contoso.
Выберите + Добавить.
Выберите Сохранить.
Нажмите кнопку Готово.
Шаг 8. Настройка расширения сети
В рамках возможностей обнаружения и реагирования на конечные точки Microsoft Defender для конечной точки в macOS проверяет трафик сокетов и передает эти сведения на портал Microsoft Defender. Следующая политика позволяет сетевому расширению выполнять эту функцию.
Эти действия применимы в macOS 11 (Big Sur) или более поздней версии.
На панели мониторинга Jamf Pro выберите Компьютеры, а затем — Профили конфигурации.
Нажмите кнопку Создать и введите следующие сведения в поле Параметры:
Вкладка "Общие":
- Имя: расширение сети Microsoft Defender
- Описание: macOS 11 (Big Sur) или более поздней версии
- Категория: Нет (по умолчанию)
- Метод распространения: автоматическая установка (по умолчанию)
- Уровень: уровень компьютера (по умолчанию)
Фильтр содержимого вкладки:
- Имя фильтра: фильтр содержимого Microsoft Defender
- Идентификатор:
com.microsoft.wdav
- Оставьте пустым адрес службы, организацию, имя пользователя, пароль, сертификат (включитьне выбрано)
- Порядок фильтрации: Инспектор
- Фильтр сокетов:
com.microsoft.wdav.netext
- Указанное требование фильтра сокетов:
identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
- Оставьте поля фильтра сети пустыми (включитьне выбрано)
Обратите внимание, что идентификатор, фильтр сокетов и назначенный фильтр сокетов точные значения, как указано выше.
Перейдите на вкладку Область .
Выберите + Добавить.
Выберите Группы компьютеров> в разделе Имя> группы выберите Группа компьютеров Contoso.
Выберите + Добавить.
Выберите Сохранить.
Нажмите кнопку Готово.
Кроме того, можно скачать netfilter.mobileconfig и отправить его в профили конфигурации JAMF, как описано в статье Развертывание пользовательских профилей конфигурации с помощью Jamf Pro|Способ 2. Отправка профиля конфигурации в Jamf Pro.
Шаг 9. Настройка фоновых служб
Предостережение
MacOS 13 (Ventura) содержит новые улучшения конфиденциальности. Начиная с этой версии приложения по умолчанию не могут выполняться в фоновом режиме без явного согласия. Microsoft Defender для конечной точки должна выполняться управляющая программа в фоновом режиме.
Этот профиль конфигурации предоставляет разрешения фоновой службы для Microsoft Defender для конечной точки. Если вы ранее настроили Microsoft Defender для конечной точки через JAMF, рекомендуется обновить развертывание с помощью этого профиля конфигурации.
Скачайте background_services.mobileconfig из репозитория GitHub.
Отправьте скачанный mobileconfig в профили конфигурации JAMF, как описано в разделе Развертывание пользовательских профилей конфигурации с помощью Jamf Pro|Способ 2. Отправка профиля конфигурации в Jamf Pro.
Шаг 10. Предоставление разрешений Bluetooth
Предостережение
macOS 14 (Sonoma) содержит новые улучшения конфиденциальности. Начиная с этой версии, по умолчанию приложения не могут получить доступ к Bluetooth без явного согласия. Microsoft Defender для конечной точки использует его при настройке политик Bluetooth для управления устройствами.
Скачайте bluetooth.mobileconfig из репозитория GitHub.
Предупреждение
Текущая версия JAMF Pro пока не поддерживает такого рода полезные данные. Если отправить эту mobileconfig как есть, JAMF Pro удалит неподдерживаемые полезные данные и не будет применяться к клиентским компьютерам. Сначала нужно подписать скачанный mobileconfig, после чего JAMF Pro будет считать его "запечатанным" и не будет несанкционированным. См. инструкции ниже.
- В цепочке ключей должен быть установлен по крайней мере один сертификат подписи, даже самозаверяющий сертификат будет работать. Вы можете проверить, что у вас есть с помощью:
> /usr/bin/security find-identity -p codesigning -v
1) 70E46A47F552EA8D58521DAC1E7F5144BA3012BC "DevCert"
2) 67FC43F3FAB77662BB7688C114585BAA37CA8175 "Mac Developer: John Doe (1234XX234)"
3) E142DFD879E5EB60FA249FB5B24CEAE3B370394A "Apple Development: Jane Doe 7XX7778888)"
4) 21DE31645BBF1D9F5C46E82E87A6968111E41C75 "Apple Development: me@example.com (8745XX123)"
4 valid identities found
- Выберите любой из них и укажите текст в кавычках в качестве параметра -N:
/usr/bin/security cms -S -N "DevCert" -i bluetooth.mobileconfig -o bluetooth-signed.mobileconfig
- Теперь вы можете отправить созданный файл bluetooth-signed.mobileconfig в JAMF Pro, как описано в статье Развертывание пользовательских профилей конфигурации с помощью Jamf Pro|Способ 2. Отправка профиля конфигурации в Jamf Pro.
Примечание.
Bluetooth, предоставленный через профиль конфигурации Apple MDM, не отображается в разделе Параметры системы => Конфиденциальность & Безопасность => Bluetooth.
Шаг 11. Планирование проверок с помощью Microsoft Defender для конечной точки в macOS
Следуйте инструкциям в статье Планирование проверок с помощью Microsoft Defender для конечной точки в macOS.
Шаг 12. Развертывание Microsoft Defender для конечной точки в macOS
Примечание.
Ниже приведены примеры имени .pkg
файла и значений отображаемого имени . В этих примерах представляет дату создания 200329
пакета и политики (в yymmdd
формате), а v100.86.92
также версию развертываемого приложения Microsoft Defender.
Эти значения должны быть обновлены в соответствии с соглашением об именовании, используемым в среде для пакетов и политик.
Перейдите к месту, где вы сохранили
wdav.pkg
.Переименуйте его в
wdav_MDM_Contoso_200329.pkg
.Откройте панель мониторинга Jamf Pro.
Выберите компьютер и щелкните значок шестеренки вверху, а затем выберите Управление компьютером.
На вкладке Общие введите следующие сведения в поле Новый пакет:
- Отображаемое имя: оставьте поле пустым. Так как он будет сброшен при выборе pkg.
- Категория: Нет (по умолчанию)
- Имя файла: выберите файл
Откройте файл и наведите ему указатель на
wdav.pkg
илиwdav_MDM_Contoso_200329.pkg
.Выберите Открыть. Задайте для параметра Отображаемое имязначение Microsoft Defender Advanced Threat Protection и Microsoft Defender Антивирусная программа.
Файл манифеста не требуется. Microsoft Defender для конечной точки работает без файла манифеста.
Вкладка Параметры: оставьте значения по умолчанию.
Вкладка "Ограничения": оставьте значения по умолчанию.
Выберите Сохранить. Пакет отправляется в Jamf Pro.
На то, чтобы пакет был доступен для развертывания, может потребоваться несколько минут.
Перейдите на страницу Политики .
Выберите + Создать , чтобы создать новую политику.
В поле Общие введите отображаемое имя MDATP Onboarding Contoso 200329 версии 100.86.92 или более поздней версии.
Выберите Повторяющаяся регистрация.
Выберите Сохранить.
Выберите Настроить пакеты>.
Нажмите кнопку Добавить рядом с Microsoft Defender Advanced Threat Protection and Microsoft Defender Антивирусная программа.
Выберите Сохранить.
Создайте интеллектуальную группу для компьютеров с Microsoft Defender профилями.
Для лучшего взаимодействия с пользователем необходимо установить профили конфигурации зарегистрированных компьютеров перед пакетом Microsoft Defender. В большинстве случаев JAMF Prof немедленно отправляет профили конфигурации, политики которых выполняются через некоторое время (т. е. во время проверка).
Однако в некоторых случаях развертывание профилей конфигурации может быть развернуто со значительной задержкой (например, если компьютер пользователя заблокирован).
JAMF Pro предоставляет способ обеспечения правильного порядка. Вы можете создать интеллектуальную группу для компьютеров, которые уже получили профиль конфигурации Microsoft Defender, и установить пакет Microsoft Defender только на этих компьютерах (и как только они получат этот профиль!).
Для этого сначала создайте интеллектуальную группу. В новом окне браузера откройте группы интеллектуальных компьютеров в меню слева и нажмите кнопку Создать. Назначьте имя, перейдите на вкладку Критерии , нажмите кнопку Добавить и показать дополнительные критерии.
Выберите Имя профиля в качестве критерия и используйте имя ранее созданного профиля конфигурации в качестве значения:
Нажмите кнопку Сохранить. Вернитесь в окно, в котором настраивается политика пакета.
Перейдите на вкладку Область .
Выберите целевые компьютеры.
В разделе Область выберите Добавить.
Перейдите на вкладку Группы компьютеров . Найдите созданную смарт-группу и добавьте ее.
Выберите Самообслуживание, если вы хотите, чтобы пользователи устанавливали Microsoft Defender добровольно по запросу.
Нажмите кнопку Готово.
область профиля конфигурации
ДЛЯ JAMF требуется определить набор компьютеров для профиля конфигурации. Необходимо убедиться, что все компьютеры, получающие пакет Defender, также получают все профили конфигурации, перечисленные выше.
Предупреждение
JAMF поддерживает группы интеллектуальных компьютеров, которые позволяют развертывать, например профили конфигурации или политики, на всех компьютерах, соответствующих определенным критериям, вычисляемых динамически. Это мощная концепция, которая широко используется для распределения профилей конфигурации.
Однако имейте в виду, что эти критерии не должны включать наличие Defender на компьютере. Хотя использование этого критерия может показаться логичным, это создает проблемы, которые трудно диагностировать.
Defender использует все эти профили на момент установки. Создание профилей конфигурации в зависимости от присутствия Defender фактически задерживает развертывание профилей конфигурации и приводит к первоначальному неработоспособному продукту и (или) запросам на ручное утверждение определенных разрешений приложений, которые в противном случае автоматически утверждены профилями.
Развертывание политики с пакетом Microsoft Defender после развертывания профилей конфигурации обеспечивает оптимальную работу конечного пользователя, так как перед установкой пакета будут применены все необходимые конфигурации.
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по